코로나19로 재택근무가 많아지면서 VPN을 이용하는 기업이 늘어났고 이로 인해 VPN 취약점을 이용한 공격이 증가하고 있는 상황입니다.
대표적인 사례로 국내는 한국원자력연구원과 한국항공우주산업 사례를 들 수 있는데, 이곳 모두 공격자가 VPN 취약점을 이용한 비인가자의 관리자 페이지 접근, 관리자 권한 없이 패스워드 변경 등을 한 것으로 확인되었습니다.
해외 사례의 경우 중국 해커로 추정되는 해커가 VPN 취약점을 이용하여 미국 방위 산업 일부 시스템을 침입했으며, 러시아 해킹 그룹은 VPN 취약점을 이용하여 일본 및 해외 약 900개 기업의 VPN 계정 정보를 도용하여 내부 시스템에 접근한 사례도 확인되었습니다.
그외 일반 기업들도 VPN 취약점이 활용된 해킹 시도 및 사고가 종종 발생하고 있는 것으로 알려져 보안 담당자는 VPN 취약점을 노린 해킹 피해가 발생하지 않도록 각별히 주의를 해야 합니다.
AI Spera의 사이버 위협 인텔리전스 플랫폼인 Criminal IP를 활용하여 보안 담당자가 책임져야 할 회사 VPN 서비스가 외부에 노출되어 있는지 살펴보고 어떻게 보호조치를 해야 할지 알아보겠습니다.
전세계 VPN 서버 IP 취약점 통계
전세계 IP 중 VPN이 포함된 IP 정보를 검색한 결과 47,270개, 국내는 950개 IP에서 VPN이 포함된 것을 확인했습니다.
국내 위주로 좀더 상세히 살펴보면 VPN 서비스가 포함된 IP중 SSL VPN Client, SoftEther VPN Server, VPN Router 등의 서비스가 열려 있는 것이 확인되었습니다.
이렇게 확인된 수많은 VPN IP는 필요에 의해 의도적으로 열어둔 부분도 있겠지만 관리자만 접근해야 하는 VPN IP의 경우 공격자의 공격에 취약할 수 있습니다.
Criminal IP로 확인한 외부에 노출된 기업 VPN 서버
아래 표는 기업의 정보 자산 리스트 중 보안 담당자가 관리하고 있는 VPN 자산 리스트이며, 외부에 VPN IP가 노출되어 있는지 Criminal IP로 확인해 봤습니다.
확인 결과 보안 담당자가 관리하고 있는 VPN 서버 중 xxx.xxx.xxx.251 IP가 외부에 노출되어 있는 것을 확인했습니다.
해당 VPN 인증 창은 특정 그룹에 대해서만 노출되는 페이지임에도 불구하고 IP 정보만 알고 있으면 누구나 접속할 수 있는 상태이므로 공격자는 Brute-force Attack으로 손쉽게 인증 권한을 획득하고 허용된 Routing 정보를 얻어 내부 네트워크까지 공격할 수 있습니다.
뿐만 아니라 해당 VPN이 취약할 경우 SSL, IPSec 등 알려진 VPN 통신 프로토콜을 이용한 공격, VPN 장비 자체 보안설정 취약점을 이용하여 공격할 수 있습니다.
이렇게 VPN 취약점으로 인해 보안 위험에 노출된 상태를 확인했으니 보안 담당자는 즉각적으로 보호조치를 수행해야 합니다.
보호조치는 크게 6가지로 구분하여 처해있는 상황에 맞게 단계적으로 이행해야 합니다.
만약 Criminal IP를 사용한다면 보호 대상을 탐지하고 보호조치를 하는데 좀더 빠르고 효과적이고 대응할 수 있습니다.
- VPN 인증 페이지가 노출되지 않도록 하거나
- VPN 인증 페이지에 2FA(2-factor authentication) 인증 적용 및 디폴트 패스워드를 변경하고
- VPN 소프트웨어를 항상 최신 상태로 업데이트해야 합니다.
- 또한 허용한 VPN 인증 페이지로 이상 IP, 업무 외 시간대 인증 시도를 하는지 등을 VPN 로그를 통해 확인해야 합니다.
- VPN 서버에 VPN과 관련 없는 서비스는 설치하지 않아야 하며,
- 주기적인 보안 교육을 통해 보안 담당자의 보안인식 제고를 해야 합니다.
여기까지 보안 담당자가 Criminal IP로 외부에 노출된 VPN IP를 찾고 취약 여부를 점검한 후 어떻게 보호조치를 해야 하는지 살펴봤습니다.
댓글 남기기